مراد أحمد، سام جونز، دنكن روبنسون، هانا كوتشلر وجينا كوهين
تستعد الشركات في جميع أنحاء العالم لسيل من التنظيم الأمني الإلكتروني في الوقت الذي تتدافع فيه الحكومات لإرغامها على بناء خطوط دفاعية أقوى ضد اختراقات كارثية محتملة.
من المتوقع أن تأتي القواعد الأصعب من أوروبا، من خلال أنظمة يُعلَن عنها قبل نهاية العام، يمكنها فرض غرامات كبيرة جدا تقدر بملايين الجنيهات على الشركات التي تعاني اختراقات لبياناتها.
منذ الهجوم على “توك توك” الأسبوع الماضي، حصل تهديد القراصنة المتسللين على تركيز شديد. قالت مجموعة الاتصالات البريطانية إن التفاصيل المتعلقة بما يصل إلى 1.2 مليون عميل كانت عرضة للسرقة في الوقت الذي كانت تهرع فيه إلى الحد من الأضرار التي لحقت بسمعتها وأعمالها.
تعرضت الولايات المتحدة لهجمات قراصنة الكمبيوتر على نطاق أوسع بكثير، بدءا من مجموعة متاجر التجزئة “تارجت” في عام 2013، التي فقدت سجلات 70 مليونا من عملائها، إلى الهجوم المدمر على شركة أفلام سوني في العام الماضي.
وتدفع حوداث القرصنة الخطيرة السلطات العالمية إلى اعتماد لوائح أكثر صرامة. وفي الوقت الحالي يعمل كل من مفاوضي البرلمان الأوروبي، والدول الأعضاء البالغ وعددهم 28 دولة، والمفوضية الأوروبية على التوصل إلى اتفاق لإيجاد قواعد خاصة بحماية البيانات بحلول كانون الأول (ديسمبر).
أحد التدابير المتشددة المقترحة في بروكسل هو اقتراح بفرض غرامة تصل إلى 5 في المائة من مبيعات الشركة العالمية، أو ما يعادل 100 مليون يورو -أيهما أكبر- بسبب انتهاك الخصوصية. هذا كان من شأنه أن يقضي على معظم أرباح “توك توك” ما قبل الضريبة، البالغة 95 مليون جنيه استرليني العام الماضي.
هذه اللوائح تجعل حماية البيانات في المرتبة نفسها مع مكافحة الاحتكار، حيث يمكن تغريم الشركات ما يصل إلى 10 في المائة من عائد المبيعات إذا ثبت أنها استغلت وضعها في السوق.
بعض البلدان -بلجيكا وهولندا مثلا- سبقت الاتحاد الأوروبي بفرض غرامات على الشركات التي تتعرض لاختراقات على صعيد حماية البيانات. واستحدثت كل من السويد وفرنسا وأستراليا وإسرائيل متطلبات صعبة على الشركات التي تدير بنية تحتية حيوية.
وتشهد تكلفة الهجمات الإلكترونية على الشركات تصاعدا سريعا. ووفقا لمعهد بونيمون، وهو مجموعة أمريكية مختصة في بحوث الأمن الإلكتروني، ارتفعت التكلفة في المملكة المتحدة بنسبة 14 في المائة العام الماضي.
وتظهر بيانات معهد بونيمون أن متوسط تكلفة الجرائم الإلكترونية في الخدمات المالية، وشركات الاتصالات، والطاقة، والخدمات هو الأعلى بين الشركات في المملكة المتحدة.
وتشير التقديرات إلى أن التكلفة على شركات الخدمات المالية ستصل إلى 8.5 مليون جنيه استرليني لكل شركة هذا العام، أكثر من ضعف التكلفة البالغة ثلاثة ملايين جنيه عام 2012. ويتوقع أن تعاني شركات الطاقة والخدمات ارتفاعا حادا، مع ارتفاع التكاليف لتصل إلى 6.5 مليون جنيه لكل مجموعة في عام 2015، مقارنة بـ 5.2 مليون جنيه العام الماضي.
غير أن الأثر المالي لشن هجمات على الشركات في المملكة المتحدة يختلف عن الأثر في الولايات المتحدة. وفقا لمعهد بونيمون يكلف الاختراق العادي الشركة في المملكة المتحدة 6.3 مليون دولار، أي أقل من نصف المبلغ في الولايات المتحدة، البالغ 15 مليون دولار.
وبحسب تقرير صادر عن شركة برايس ووترهاوس كوبرز للخدمات المهنية، تعكف الشركات في جميع أنحاء العالم على تعزيز ميزانيات الأمن، مشيرا إلى أنها زادت استثماراتها في هذا الجانب بنسبة 24 في المائة العام الماضي.
وفضلا عن شراء تكنولوجيات تهدف إلى تسهيل الكشف عن القراصنة المتسللين، تدعم المجموعات فرق الأمن لديها، أو تستخدم كبار مهندسي الإلكترونيات لاختبار مدى قوة شبكاتها.
لكن مقابلات أجريت مع مسؤولين حكوميين ومحللين أمنيين تشير إلى أن معايير الأمن المعلوماتي في الشركات تبقى غير مكتملة على المستوى الدولي، وتختلف بصورة واسعة عبر القطاعات.
وتُصَعِّد الحكومات إجراءاتها لضمان معايير أعلى في الشركات المهمة. وفي المملكة المتحدة تعمل الوكالات الأمنية، مثل وكالة التنصت الإلكتروني “جي سي إتش كيو” ووكالة الاستخبارات المحلية MI5، مع شركات تشكل “بنية تحتية” مهمة مثل المصارف وشركات توليد الكهرباء.
لكن وفقا لخبراء، لا تزال هناك مشكلات لدى شركات “الدرجة الثانية”، بما في ذلك مجموعات التجزئة والاتصالات التي توجد لديها تعاملات أقل مع السلطات المركزية، لكنها تبقى مكشوفة لأن لديها تفاصيل حساسة خاصة بالعملاء.
وضخت الصناعة المالية مئات الملايين من الدولارات في جميع أنحاء العالم لتقوية فرق الأمن الإلكتروني لديها، وتوظيف مسؤولي استخبارات سابقين من وكالات التجسس، وإيجاد عقول تكنولوجية شابة من أمثال “نادي الكمبيوتر الفوضوي”، وهو أكبر اتحاد للقراصنة في أوروبا.
وتحاول المصارف العمل معا للتصدي لهذه المشكلة. وأنشأت لهذا الغرض “مركز تحليل وتبادل معلومات الخدمات المالية” الذي يتبادل البيانات المتعلقة بالتهديدات الأمنية. ولدى هذه الهيئة المختصة بالصناعة 5500 عضو، بما فيها بنك جيه بي مورجان تشيس، وسيتي جروب، وبنك ويلز فارجو، وإتش إس بي سي.
وتتطلع جهات أخرى إلى مقدمي الخدمات الخارجيين للحصول على مزيد من الأمن. دراكس، أكبر مجموعة لتوليد الكهرباء في المملكة المتحدة، التي توفر نحو 7 في المائة من الكهرباء في البلد، وظفت داركتريس، وهي شركة ناشئة مختصة بالأمن الإلكتروني تستخدم تكنولوجيا متقدمة لتحديد الأخطاء عبر شبكة الكمبيوتر الخاصة بالشركة. وتشمل المجموعات الأخرى التي تعمل مع داركتريس الاتصالات البريطانية وفيرجين ترينز.
وكان هناك دفع عكسي من الشركات القلقة حيال القواعد الأكثر صرامة. ويتوقع متابعون للمناقشات التنظيمية في أوروبا حلا وسطا، مع غرامة أكبر بكثير مما هو متاح حاليا، لكن أصغر من النسبة البالغة 5 في المائة.
في عام 2011 صاغت حكومة المملكة المتحدة رسميا استراتيجيتها المتعلقة بالأمن الوطني ونشرت التدابير الهادفة إلى تحسين قدرة الشركات البريطانية. وفي الطليعة كان إنشاء “سيسب، شراكة تبادل المعلومات الإلكترونية، التي من خلالها يتم تشجيع الشركات على تبادل المعلومات الاستخبارية حول الهجمات التي تعرضت لها. ولدى “سيسب” 750 منظمة مشاركة.
وتدير “جي سي إتش كيو”، وهي وكالة أمنية في المملكة المتحدة، شبكات غير رسمية رفيعة المستوى مع شركات ذات أهمية وطنية خاصة.
وينبغي لبعض الشركات الانفتاح بشكل تام على أعمال المراقبة الإلكترونية الخاصة بالحكومة. وأي منظمة توقع عقدا مع وزارة الدفاع يجب أن تضع جميع أجهزة الكمبيوتر لديها تحت تصرف الوكالة.
ويوضح مسؤولون أنه لا يمكنهم التصرف لحماية كل شركة – ولن يفعلوا ذلك. ويروي أحد كبار المسؤولين الأمنيين في المملكة المتحدة كيف كان عليه إخبار شركة كبيرة مدرجة على مؤشر فاينانشيال تايمز 100 ثلاث مرات أنه قد تم اختراق الملقمات الثلاثة لديها من قبل حملة تجسس وطنية، لكن لم تفعل الشركة أي شيء “وعند نقطة معينة، كان علينا ترك الأمر والابتعاد”.
ووفقا لأوجستين بيرجلاس، وهو عميل سابق لدى مكتب التحقيقات الفيدرالي يعمل في منصب المدير الإداري الأول لدى K2 Intelligence، وهي شركة مختصة في تحقيقات الشركات، الرسالة بأن كل الشركات – ليس فقط تلك التي تملك بنية تحتية مهمة – تحتاج لتشديد دفاعاتها يجري احترامها وتقديرها أكثر في الولايات المتحدة.
ويضيف بيرجلاس الذي قاد التحقيقات في قرصنة تعرض لها بنك جيه بي مورجان وتحقيقات أخرى في اختراق تعرض له موقع سيلك رود: “المكان الذي تقدمت فيه الولايات المتحدة على المملكة المتحدة هو أن كل شخص في وضع الاستعداد. يفكرون أن الآن هو الوقت الذي نحتاجه لإنفاق الأموال من أجل التأكد من أن بياناتنا المهمة آمنة”.
لكنه يقول إن النهج الأمريكي المتعلق بالتنظيم مشتت، دون وجود قانون إعلام وطني للقرصنة كالقانون الذي تجري مناقشته في أوروبا. الشركات ملزمة بموجب قوانين الولاية التي تعمل فيها، التي تختلف في كل ولاية قضائية.
وتدخل الدولة لن يكون كافيا لحل المشكلة، بحسب بيرجلاس. “بغض النظر عن التنظيم واللوائح، هذا لا يعني أنك كشركة خارج نطاق الخطر ولا يلزمك حماية بيانات عملائك. إنها مسؤولية تقع على عاتقك”.